प्लेटफ़ॉर्म
go
घटक
github.com/siyuan-note/siyuan/kernel
में ठीक किया गया
3.5.11
3.5.10
CVE-2026-30869 SiYuan Kernel में एक पथ ट्रैवर्सल भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलों तक पहुंचने की अनुमति देता है। इस भेद्यता का प्रभाव गंभीर है, क्योंकि इससे संवेदनशील डेटा का खुलासा हो सकता है। यह भेद्यता SiYuan Kernel के संस्करण 3.5.10 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए, संस्करण 3.5.10 में अपडेट करें।
यह पथ ट्रैवर्सल भेद्यता हमलावरों को SiYuan Kernel के /export एंडपॉइंट के माध्यम से मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। इसका मतलब है कि हमलावर संवेदनशील डेटा, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य गोपनीय जानकारी तक पहुंच सकते हैं। इस भेद्यता का उपयोग सिस्टम पर आगे बढ़ने या अन्य प्रणालियों पर हमला करने के लिए भी किया जा सकता है। इस भेद्यता का दायरा व्यापक है, क्योंकि यह SiYuan Kernel के सभी संस्करणों को प्रभावित करता है जो संस्करण 3.5.10 से पहले हैं। यदि कोई हमलावर इस भेद्यता का सफलतापूर्वक फायदा उठाता है, तो वे संवेदनशील डेटा को उजागर कर सकते हैं, सिस्टम को समझौता कर सकते हैं, या अन्य प्रणालियों पर हमला कर सकते हैं।
CVE-2026-30869 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं। इस भेद्यता को 2026-03-10 को प्रकाशित किया गया था।
Organizations and individuals using SiYuan for note-taking, particularly those hosting their own instances or using self-managed deployments, are at risk. Shared hosting environments where multiple users share the same SiYuan instance are particularly vulnerable, as an attacker could potentially access data belonging to other users.
• linux / server:
find / -name 'siyuan' -type d -exec grep -i '..\s\+' {}/ -print• generic web:
curl -I 'http://your-siyuan-server/export/../../../../etc/passwd' # Check for 200 OK response• wordpress / composer / npm: (Not applicable, as this is a kernel vulnerability) • database (mysql, redis, mongodb, postgresql): (Not applicable) • windows / supply-chain: (Not applicable)
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.58% (69% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-30869 को कम करने के लिए, SiYuan Kernel को संस्करण 3.5.10 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो /export एंडपॉइंट तक पहुंच को सीमित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करने पर विचार करें। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करना और अनावश्यक फ़ाइलों को हटाना जोखिम को कम करने में मदद कर सकता है। SiYuan Kernel के नवीनतम संस्करण में अपडेट करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, /export एंडपॉइंट पर अनधिकृत फ़ाइल एक्सेस का प्रयास करके।
SiYuan को संस्करण 3.5.10 या बाद के संस्करण में अपडेट करें। यह संस्करण /export एंडपॉइंट में पाथ ट्रैवर्सल भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-30869 SiYuan Kernel में एक पथ ट्रैवर्सल भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है।
यदि आप SiYuan Kernel के संस्करण 3.5.10 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-30869 को ठीक करने के लिए, SiYuan Kernel को संस्करण 3.5.10 में अपडेट करें।
CVE-2026-30869 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है।
कृपया SiYuan Kernel के आधिकारिक वेबसाइट पर जाएं या सुरक्षा सलाहकार के लिए उनके GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।